Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Upozornil MHD na ostudnou chybu. Maďarská policie ho zatkla jako „hackera“

aktualizováno  14:35
Maďarský provozovatel hromadné dopravy v Budapešti zavedl nový systém pro placení lístků on-line. Narychlo spuštěné stránky však obsahovaly řadu zásadních chyb. Osmnáctiletý mladík upozornil na jednu z nich a o týden později si pro něj přišla policie. Veřejnost i odborníci kritizují jak zpackaný systém plateb, tak zřejmě nepřiměřený policejní zásah.
(Ilustrační snímek)

(Ilustrační snímek) | foto: Reuters

Zavedením systému na on-line placení jízdného si budapešťská dopravní společnost BKK chtěla vylepšit image. Zřejmě i proto systém spustila narychlo, akorát včas pro mistrovství světa v plavání, které se v Budapešti koná od 14. července.

Místo toho si však BKK a všichni další, kdo se do případu zapojili, uřízli pořádnou ostudu. Systém byl totiž plný nedodělků a chyb, včetně takových, které by neudělal ani začínající vývojář nebo které by mělo odhalit i jen základní testování:

  • Po registraci ukládal systém heslo v plaintextu (proč je to problém?).
  • Jednoduchou editací URL v adresním řádku mohli lidé změnit účet, který si prohlížejí, a dostat se tak k citlivým datům ostatních uživatelů, a to včetně čísla občanského průkazu, pasu nebo řidičského průkazu.
  • Administrátorské heslo bylo údajně „adminadmin“.
  • Přestože systém měl podle BKK zajistit nemožnost lístky zkopírovat, ve skutečnosti takové kopírování nebyl problém, jak uživatelé brzy vyzkoušeli.
  • CAPTCHA, která měla zabezpečit systém před robotickým vyplňováním formulářů, je ve skutečnosti díky amatérské chybě pro roboty naprosto jednoduchá, a pouze tak otravuje lidské uživatele.
14.července 2017 v 11:47, příspěvek archivován: 26.července 2017 v 08:49

I would like to congratulate the devs / ticket controllers of @bkkbudapest on the rollout of the new e-ticket system. Very secure CAPTCHA! https://t.co/TbkZKaHLwX

To všechno jsou závažné problémy, které by se u profesionálního projektu neměly vůbec objevit (dodavatelem je velká německá firma T-Systems, dceřiná společnost Deutshche Telekom). Ale ještě horší bylo, jak se s těmito problémy firma BKK pokusila vypořádat.

Zatčen za stisknutí klávesy F12

Jedním z těch, kteří nevěřícně kroutili nad nesmyslnými chybami v nové službě na nákup lístků, byl nejmenovaný 18letý mladík. Při nákupu lístku si všiml, že textové políčko s cenou nelze editovat (což je logické). Vyzkoušel tedy, co se stane, když v posledním kroku objednávky cenu upraví v prohlížeči.

K tomu stačí využít vestavěného nástroje prohlížeče (v Chromu spustíte klávesou F12), kde můžete prakticky neomezeně editovat obsah zobrazené stránky. Mladík zkusil objednat měsíční jízdenku (původně za 9 500 forintů, tedy asi 800 korun) a částku v prohlížeči přepsal na 50 forintů (necelých pět korun českých). K jeho překvapení systém objednávku přijal a po zaplacení směšné částky mu skutečně přišla měsíční jízdenka.

Mladík tento problém nahlásil na e-mailovou adresu BKK a předpokládal, že se někdo jeho objevem bude zabývat. Řada firem (včetně gigantů jako Facebook nebo Google) vývojáře povzbuzuje k tomu, aby hlásili problémy, které v jejich aplikacích a službách najdou, a vyplácejí těmto nálezcům nemalé odměny.

Místo toho se však mladík dočkal pouze e-mailu s oznámením, že jeho měsíční lístek byl zneplatněn. Jinak od BKK nic neslyšel. A chyba v systému zůstala. Do médií, která si dělala ze zpackaného systému nepokrytou legraci, ovšem firma BKK opakovaně tvrdila, že systém má pouze malé problémy a že za vše ostatní mohou hackeři a internetoví vtipálci. Na jednoho hackera prý podali trestní oznámení.

Na kterého, to samozřejmě nevíme. Ale víme, že mladíka, který pod svým vlastním jménem upozornil BKK e-mailem na chybu v jejich systému, zatkla v místě jeho bydliště zásahová jednotka maďarské policie. Byl obviněn z „neautorizovaného přístupu do cizího počítačového systému“ a po několika hodinách byl propuštěn. Vyšetřován je na svobodě.

Dodejme, že „neautorizovaný přístup“ je v tomto případě přinejmenším silné zkreslení. Neautorizovaný přístup bychom mohli přirovnat k vniknutí zloděje do zamčeného domu. Mladíkův trik bychom mohli přirovnat spíše k tomu, že si někdo v restauraci na jídelním lístku škrtne cenovku, napíše novou a pak požádá číšníka, aby mu jídlo za tuto cenu donesl. Chyba je takovém případě logicky na straně číšníka, který by neměl takový požadavek přijmout.

Nesmyslné argumenty ukazují na neschopnost přiznat chybu

Stránka BKK se dočkala desetitisíců negativních recenzí

Stránka BKK se dočkala desetitisíců negativních recenzí.

Mladého „hackera“ se zastala média i veřejnost. Facebookovou stránku společnosti zaplavily jednohvězdičkové recenze, které většinou kopírují (do angličtiny přeložený) text, ve kterém se anonymní „hacker“ obhajuje (vzhledem k anonymitě jsme samozřejmě nemohli ověřit autenticitu): „Je mi osmnáct let a jsem středoškolák. V pátek jsem zjistil, že mohu objednat celoměsíční jízdenku za 50 forintů, a o dvě minuty později jsem o tom informoval BKK. Mým cílem bylo pouze upozornit BKK na tento problém, aby jej mohli opravit. Neodpověděli mi, ale na tiskové konferenci to později označili za kyberútok, který nahlásili policii.“

Firma BKK po nějaké době trochu přehodnotila svou rétoriku. Mladého hackera již neoznačuje za „útočníka“. Pokusili se však zpochybnit, že chybu nahlásil, a tvrdí, že zřejmě hlášení poslal na špatnou adresu. Mladík to odmítá a své tvrzení dokládá screenshotem.

Později člen představenstva BKK označil za viníka situace dodavatele systému T-Systems. Dodavatel na oplátku říká, že neměl na výběr - jakmile mladík zneužil systém, musel chybu nahlásit. To ovšem vzhledem k velmi nízké částce i evidentní transparenci rovněž nedává smysl.

Liší se i výpovědi ohledně toho, kdo vlastně mladíka udal policii. Pokud to byla BKK, která tvrdí, že nedostala jeho e-mail, není jasné, podle čeho mladého „hackera“ našli (uvádíme v uvozovkách, protože podle redakce o hacknutí v žádném případě nešlo). Pokud mladíka nahlásila firma T-Systems, měla by vysvětlit, proč zvolila takový způsob, namísto tradičnějšího poděkování za odhalení a nahlášení chyby.

Jak nám potvrdil čtenář, který je nyní v Budapešti, systém pro nákup lístků je nyní vypnutý a nedostupný. BKK uvádí, že je to kvůli „soustavnému útoku na jejich IT infrastrukturu“. Vzhledem k povaze odhalených chyb systému, zmíněných výše, lze ale za pravděpodobné vysvětlení považovat spíše kompletní stažení stránek, ať už trvalé, nebo za účelem jejich přepracování.

Aktualizace: Do článku jsme doplnili aktuální informace.

Autor:




Hlavní zprávy

Další z rubriky

Samizdat.cz
Tipy na zajímavé weby: Najděte si nápad na nový byznys

V jakém oboru se vyplatí začít podnikat a jak je to s konkurencí ve vybraných částech ČR, prozradí mapa malého podnikání na Samizdat.cz. Dodavatele čerstvých...  celý článek

Rozšířené zobrazení výsledků vyhledávání - Google
Google po letech přestane při vyhledávání rovnou načítat výsledky

Od roku 2010 vám Google při vyhledávání nabízí dynamické vyhledávání. To nyní zmizelo.   celý článek

Laura Millerová na konferenci Engage 2017 v Praze
Falešné zprávy všechny překvapily, přiznává šéfka Obamova digitýmu

Jak může nejmocnější muž planety, prezident USA, vystupovat na sociálních sítích přirozeně a lidsky? Jak si ze sebe má dělat legraci, a jak naopak upozornit na...  celý článek

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.